هکرها با آلوده نمودن فایل Adobe Flash، آن را در سایتهای پر بیننده قرار میدهند. محققان امنیتی آزمایشگاههای کسپرسکی یک آسیبپذیری جدید از کدهای کنترل از راه دور را در فایل Adobe پیدا کردهاند که توسط گروهی به نام BlackOasis ایجاد شده است.
این نوع آسیبپذیری به عنوان CVE-2017-11292 شناسایی شده که میتواند با اجرای کد در Flash Player 21.0.0.226 برای سیستم عاملهای ویندوز، مکینتاش، لینوکس تحت تاثیر قرار گیرد.
محققان میگویند، BlackOasis همان گروهی از مهاجمین است که مسئولیت بهرهبرداری از یک آسیبپذیری روزانه (CVE-2017-8759) را که در سپتامبر 2017 توسط محققان FireEye کشف شده بود، مورد تحقیق قرار داده است.
همچنین LastFinSpy در حملات فعلی با بهرهبرداری از فلش صفر روز (CVE-2017-11292) وارد سرور فرمان و کنترل ویندوز شده و کد مخرب را اجرا میکنند.
تاکنون BlackOasis قربانیان را در کشورهای مختلف از جمله روسیه، عراق، افغانستان، نیجریه، لیبی، اردن، تونس، عربستان سعودی، ایران، هلند، بحرین، انگلیس و آنگولا هدف قرار داده است.
از Adobe Flash اخیرا گزارش شده است، گروه BlackOasis از ژوئن 2015 از آنها سوءاستفاده کرده است.
این گروه جدیدا با سوءاستفاده از فایلهای فلش که از طریق ماکروسافت آفیس طراحی شده و به ویژه از طریق word متصل به ایمیل اسپم که درون فایل که یک شی شامل ActiveX میباشد آلوده کرده و در فایل فلش قرار میدهند.
در ادامه این گروه با سوءاستفاده از بدافزار تجاری FinSpy به عنوان آخرین حملات استفاده مینمودهاند. محققان آزمایشگاه کسپرسکی میگویند: "بسته ی مذکور دارای برنامه ی فلش حاوی ctionScript است که از آن سوء استفاده شده و در سایر سوء استفاده ها از بدافزار FinSpy اقدام شده است."
FinSpy، همچنین به عنوان FinFisher شناخته میشود، دارای قابلیتهای گسترده ی جاسوسی در یک سیستم آلوده، از جمله به صورت مخفیانه از طریق روشن کردن وبکم و میکروفون نظارت زنده دارد و همچنین تمامی اطلاعات در سیستم قربانی از جمله کلیکهای صفحه کلید، رد تماس اسکایپ و استخراج فایلها را دریافت میکند.
برای رسیدن به یک سیستم هدف، FinSpy معمولا از انواع مختلف حملات استفاده میکند، از جمله فیشینگ، نصب دستی با دسترسی فیزیکی به دستگاه آسیبدیده، سوءاستفاده از adobe flash و حملات دیگر.
آنتون ایوانف، تحلیلگر تروجان در آزمایشگاه کسپرسکی گفت: "در سال جاری برای بار سوم با استفاده از نرم افزار FinSpy که برنامه آسیبپذیر adobe flash را آلوده نموده و آن را ترویج داده است. پیش از این، محققان مشکلات word و Adobe را مورد انتقاد قرار دادند. اما اعتقاد داریم تعداد حملات با استفاده از نرمافزار آلوده FinSpy همچنان رشد خواهد کرد.
آزمایشگاه کسپرسکی آسیبپذیری را به ادوبی گزارش داده و این شرکت با انتشار نسخههای Adobe Flash Player 27.0.0.159 و 27.0.0.130 آسیبپذیری را رفع کرده است.
تنها در ماه گذشته محققان ESET دریافتهای مشروع از چندین برنامه ی محبوب مانند WhatsApp، Skype، VLC Player و WinRAR که گزارش شده در سطح ISP به خطر افتاده است را منتشر نمودهاند.
بنابراین، توصیه میشود سازمانهای دولتی در سراسر جهان برنامه Adobe را به روز رسانی و نصب کنند.
مایکروسافت نیز به احتمال زیاد یک به روز رسانی امنیتی را برای پچ کردن اجزای فلش پلیر مورد استفاده درون محصولاتش منتشر خواهد کرد.
این نوع آسیبپذیری به عنوان CVE-2017-11292 شناسایی شده که میتواند با اجرای کد در Flash Player 21.0.0.226 برای سیستم عاملهای ویندوز، مکینتاش، لینوکس تحت تاثیر قرار گیرد.
محققان میگویند، BlackOasis همان گروهی از مهاجمین است که مسئولیت بهرهبرداری از یک آسیبپذیری روزانه (CVE-2017-8759) را که در سپتامبر 2017 توسط محققان FireEye کشف شده بود، مورد تحقیق قرار داده است.
همچنین LastFinSpy در حملات فعلی با بهرهبرداری از فلش صفر روز (CVE-2017-11292) وارد سرور فرمان و کنترل ویندوز شده و کد مخرب را اجرا میکنند.
تاکنون BlackOasis قربانیان را در کشورهای مختلف از جمله روسیه، عراق، افغانستان، نیجریه، لیبی، اردن، تونس، عربستان سعودی، ایران، هلند، بحرین، انگلیس و آنگولا هدف قرار داده است.
از Adobe Flash اخیرا گزارش شده است، گروه BlackOasis از ژوئن 2015 از آنها سوءاستفاده کرده است.
این گروه جدیدا با سوءاستفاده از فایلهای فلش که از طریق ماکروسافت آفیس طراحی شده و به ویژه از طریق word متصل به ایمیل اسپم که درون فایل که یک شی شامل ActiveX میباشد آلوده کرده و در فایل فلش قرار میدهند.
در ادامه این گروه با سوءاستفاده از بدافزار تجاری FinSpy به عنوان آخرین حملات استفاده مینمودهاند. محققان آزمایشگاه کسپرسکی میگویند: "بسته ی مذکور دارای برنامه ی فلش حاوی ctionScript است که از آن سوء استفاده شده و در سایر سوء استفاده ها از بدافزار FinSpy اقدام شده است."
FinSpy، همچنین به عنوان FinFisher شناخته میشود، دارای قابلیتهای گسترده ی جاسوسی در یک سیستم آلوده، از جمله به صورت مخفیانه از طریق روشن کردن وبکم و میکروفون نظارت زنده دارد و همچنین تمامی اطلاعات در سیستم قربانی از جمله کلیکهای صفحه کلید، رد تماس اسکایپ و استخراج فایلها را دریافت میکند.
برای رسیدن به یک سیستم هدف، FinSpy معمولا از انواع مختلف حملات استفاده میکند، از جمله فیشینگ، نصب دستی با دسترسی فیزیکی به دستگاه آسیبدیده، سوءاستفاده از adobe flash و حملات دیگر.
آنتون ایوانف، تحلیلگر تروجان در آزمایشگاه کسپرسکی گفت: "در سال جاری برای بار سوم با استفاده از نرم افزار FinSpy که برنامه آسیبپذیر adobe flash را آلوده نموده و آن را ترویج داده است. پیش از این، محققان مشکلات word و Adobe را مورد انتقاد قرار دادند. اما اعتقاد داریم تعداد حملات با استفاده از نرمافزار آلوده FinSpy همچنان رشد خواهد کرد.
آزمایشگاه کسپرسکی آسیبپذیری را به ادوبی گزارش داده و این شرکت با انتشار نسخههای Adobe Flash Player 27.0.0.159 و 27.0.0.130 آسیبپذیری را رفع کرده است.
تنها در ماه گذشته محققان ESET دریافتهای مشروع از چندین برنامه ی محبوب مانند WhatsApp، Skype، VLC Player و WinRAR که گزارش شده در سطح ISP به خطر افتاده است را منتشر نمودهاند.
بنابراین، توصیه میشود سازمانهای دولتی در سراسر جهان برنامه Adobe را به روز رسانی و نصب کنند.
مایکروسافت نیز به احتمال زیاد یک به روز رسانی امنیتی را برای پچ کردن اجزای فلش پلیر مورد استفاده درون محصولاتش منتشر خواهد کرد.